gewünschter_Benutzername Geschrieben 12. Juni 2014 Geschrieben 12. Juni 2014 Bei uns gibt es eine Stern-Bus-Netz . Am Dachboden paar Server sowie der Router und das Modem und im 1 OG und im EG jeweils die anderen Geräte. Das Problem ist Herr ex Admin steckt gerne mal ein Gerät an das nen Virus oder so hat. Klar dann blinken meine AV Programme wie wild...:upps jjaaa mir geht das am... und sicher ist es auch bei weiten nicht. Also muss was her! Richtig ein paar neue Switch. Derzeit würde ich mit 3x auskommen wobei jeweils 8 Port ausreichen. Mir wurde von Cisco eine Serie empfohlen die alles können sollte was ich derzeit kenne: - 802.1X – Port Based Network Access Control Hier kenne ich es von meinen Hotel Aufenthalten das wenn sich ein unbekannter User ansteckt man Automatisch ins Gast Netz kommt und IP Telefone, Fernseher,... in das dafür vorgesehene. Gibt es bei Cisco Switche irgend welche Vorteile in diese richtung die andere Firmen nicht bieten? - 802.3ad – Link Aggregation damit würde ich gerne die 3 Switche jeweils untereinander anbinden mit verschiedenen alternativen zum Lan Kabel wie zb Powerline - 802.1Q – Virtual Bridged LANs - 10/100/1000MB/s - Lüfter los Und das wichtigste zum Schluss das ich alles über das Netzwerk Managen kann und nicht jeden Switch einzeln einrichten muss. Theoretisch sollte alles der SG 300-10 können. Noch hilfreiche Meinungen und Ideen? Zitieren
Crash2001 Geschrieben 13. Juni 2014 Geschrieben 13. Juni 2014 Viel Spass bei der Einrichtung. Stern-Netz... Du meinst wohl ein ganz normales Ethernet-Netzwerk... Einrichtung geht per Webfrontend oder per CLI auf den Switchen. Andere Möglichkeiten sind mir jetzt ad hoc nicht bekannt. Das Webfrontend kann man wohl mehr oder weniger in die Tonne kloppen, da es schlecht aufgebaut sein soll - kann sich aber mit einem versionswechsel immer wieder auch ändern. Die Command Line soll jedoch ganz brauchbar sein. Von Cisco Works (Management-Oberfläche) wirst du wohl eher keine Lizenz haben (Kosten ab ein paar k€) und du bräuchtest zudem noch einen Server, auf dem dieses läuft. Installation / Konfiguration davon ist wohl auch nicht ganz ohne und lohnt nicht wirklich für die paar Geräte... Ich denke mal es wird also auf Konfiguration per Webfrontend hinauslaufen, falls du keine Erfahrungen mit der CLI von Cisco hast, so dass du dir eine Config schreiben und dann einfach nur ins CLI reinkopieren kannst. 802.1x / dot1x / NAC ist nicht "mal eben so" implementiert, sondern hat ein paar Anforderungen. Per MAB-Authentifizierung (MAC Address Bypass) hält sich der Aufwand noch in Grenzen. Alles andere wird blockiert. Dabei muss man eigentlich nur die MAC-Adressen alle kennen, die ins Netz kommen dürfen und festlegen, in welches Netz sie jeweils gesteckt werden sollen. Ansonsten braucht man auch noch einen Radius-Server und entsprechende Zertifikate und und und... Es gibt aber auch weniger aufwändige Möglichkeiten, um dein Ziel zu erreichen. Einfach Access-Lists auf die Switche mit den MAC-Adressen oder IP-Adressen, die kommunizieren dürfen (Nur die bekannten MAC-Adressen am jeweiligen Port sind erlaubt, alles andere darf nur dorthin kommunizieren aber nciht an diesem Port hängen) und fertig. Alternativ Port-Security mit sticky (merkt sich die erste MAC-Adresse, die am jeweiligen Port sichtbar wird) oder static MAC-Adressen konfiguriert. Und wenn derjenige unbedingt Zugang haben können soll, dann einfach manuell einen Port in ein anderes vlan packen und entsprechend anbinden, so dass er keinen Schaden im Netz verursachen kann. Wobei ich jemanden, der sich regelmässig mit infizierten Rechnern ans Netz anklemmt definitiv dauerhaft aussperren würde aufgrund der Gefährdung des Netzwerks. Link Aggregation / Etherchannels sind kein Problem - die Links müssen aber die gleiche Bandbreite haben, damit man sie bündeln kann. Das Interface zum LAN bei Powerline hat zwar immer die gleiche Bandbreite - das Powerline-Interface hat jedoch eine Bandbreite je nach Verbindungsqualität. Könnte zu Problemen führen. Da Sollte man sich überlegen, ob man nicht doch lieber ein oder zwei Leitungen zieht und dann 1 bzw. 2GBit/s hat an Verbindungsgeschwindigkeit. Ich frage mich nur ernsthaft nach dem Sinn der ganzen Sache. Soll das Gastnetz ein abgeschottetes Netz ohne Routing in andere Netze sein (Isolation-vlan quasi) oder über einen eigenen Anschluß ins INternet gehen oder was? Ansonsten können dich infizierte Geräte doch dennoch angreifen innerhalb deines Netzes - egal ob sie nun im gleichen Subnet sind oder nicht. Sobald dazwischen geroutet wird, bist du erreichbar. Zitieren
gewünschter_Benutzername Geschrieben 13. Juni 2014 Autor Geschrieben 13. Juni 2014 Einrichtung geht per Webfrontend oder per CLI auf den Switchen. Andere Möglichkeiten sind mir jetzt ad hoc nicht bekannt.Cisco Network Assistant - Products & Services - Cisco Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.